baza wiedzy Network Expert

Router Huawei

Poniżej znajduje się kilka podstawowych komend wraz z przykładami niezbędnych do podstawowej konfiguracji routera Huawei:

Dostęp do urządzeń

Definicja dostępu do urządzeń, wpuszczamy tylko sieci zarządzające, do tego celu tworzymy ACL:

acl number 2010
rule 5 permit source 213.199.219.146 0
rule 6 permit source 192.168.4.0 0.0.0.255
rule 7 permit source 10.2.32.0 0.0.3.255

Podajemy nazwę community sNMP oraz deklarujemy access-liste stworzoną w poprzednim kroku:

snmp-agent community read %$%$#7T&FdP'”Z}bDUL9E4dS,$1s%$%$ acl 2010
snmp-agent sys-info version v2c
snmp-agent

Konfiguracja SSH i Telnet
Włączamy dostęp przez ssh i telnet, w ramach konfiguracji odwołujemy się do access listy:

user-interface vty 0 4
authentication-mode aaa
idle-timeout 30 0
protocol inbound all
acl 2010

Uruchamiamy serwer ssh i generujemy certyfikat:

rsa local-key-pair create

Uruchmiamy serwer stelnet:

stelnet server enable

Konfiguracja użytkowników
Dodajemy użytkowników lokalnych:

aaa
local-user nazwausera password cipher hasło
local-user nazwausera service ssh

Włączamy możliwość logowania się do ssh dla utworzonych przed chwilą użytkowników:

ssh user nazwaużytkownika authentication-type password
ssh user nazwauzytkownika service-type stelnet

Konfiguracja serwera http
Włączamy server http:

http timeout 3
http server enable

Konfiguracja zabezpieczeń przed atakami typu syn i atakami przez pakiety fragmentowane:

anti-attack fragment car cir 1000000
anti-attack tcp-syn car cir 1000000

Konfiguracja Interfejsów
Interfejsy VLAN

interface Vlanif1
ip address 192.168.4.1 255.255.255.0
ip address 10.227.190.1 255.255.255.0 sub //drugi adres przypisany do interfejsu
dhcp select global

interface Vlanif2
ip address 172.17.1.1 255.255.255.0
dhcp select global

Interfejsy fizyczne
Przypisanie interfejsow do vlanu 2

interface Ethernet0/0/0
port link-type access
port default vlan 2

interface Ethernet0/0/1
port link-type access
port default vlan 2

//domyślnie interfejsy są w VLANie 1
interface Ethernet0/0/2

interface Ethernet0/0/3

Konfiguracja dhcp dla interfejsów LAN

dhcp enable

ip pool VLAN1PULA
gateway-list 192.168.4.1
network 192.168.4.0 mask 255.255.255.0
excluded-ip-address 192.168.4.2 192.168.4.4
dns-list 10.2.35.200

ip pool VLAN2PULA
gateway-list 172.17.1.1
network 172.17.1.0 mask 255.255.255.0
dns-list 8.8.8.8

interface vlanif 1
dhcp select global

interface vlanif 2
dhcp select global

Konfiguracja interfejsów WAN
Interfejs ethernet

interface Ethernet0/0/4
description WAN
ip address 213.199.219.219 255.255.255.248

Interfejs 3G

interface Cellular0/0/0
link-protocol ppp
ppp chap user internet
ppp chap password cipher internet
ppp ipcp dns admit-any
ppp ipcp dns request
tcp adjust-mss 1460
ip address ppp-ne
dialer enable-circular
dialer-group 1
dialer timer autodial 20
dialer number *99# autodial

dialer-rule
dialer-rule 1 ip permit

Konfiguracja routingu statycznego:

ip route-static 0.0.0.0 0.0.0.0 Cellular0/0/0 preference 200
ip route-static 0.0.0.0 0.0.0.0 213.199.219.217

Konfiguracja nat dla sieci 172.17.1.0

acl number 2000
rule 5 permit source 172.17.1.0 0.0.0.255

interface cellular 0/0/0
nat outbound 2000

Konfiguracja VPN
Definiujemy acl wybierającą ruch do zaszyforwania

acl number 3101
rule 5 permit ip source 192.168.4.0 0.0.0.255
rule 6 permit ip source 10.227.190.0 0.0.0.255

Definiujemy parametry dla IKE faza 1

ike proposal 3
encryption-algorithm aes-cbc-256
dh group14
sa duration 3600

Definiujemy parametry dla IKE fazy 2

ipsec proposal cmap20
esp authentication-algorithm sha1
esp encryption-algorithm 3des

Definiujemy peer-a IKE

ike peer cmap20 v1
pre-shared-key cipher %$%$WAcj.Kw3*Hs7K/R>Q-V,.2n%$%$
ike-proposal 3 <—odwołujemy się do parametrów IKE faza 1
remote-address 213.199.219.146

Definiujemy politykę IPSEC

ipsec policy cmap 10 isakmp
security acl 3101
pfs dh-group2
ike-peer cmap20 <—– odwołujemy się do peer
proposal cmap20 <—– odwołujemy się do propozycji IKE faza 2

Druga polityka dla drugiego interfejsu

ipsec policy cmap2 10 isakmp
security acl 3101
pfs dh-group2
ike-peer cmap20 <—– odwołujemy się do peer
proposal cmap20 <—– odwołujemy się do propozycji IKE faza 2

Przypinamy politykę do interfejsu

interface cell0/0/0
ipsec policy cmap2

interface ethernet0/0/4
ipsec policy cmap

Konfiguracja firewalla

acl number 3005
rule 6 permit ip destination 192.168.4.0 0.0.0.255

firewall zone trust
priority 14

firewall zone untrust
priority 1

firewall zone Local
priority 16

firewall interzone trust untrust
firewall enable
packet-filter 3005 inbound
packet-filter default permit inbound
packet-filter logging

Konfiguracja QoS
Konfiguracja acl wybierających ruch

acl 3088
rule 5 permit ip source a.a.a.a destination b.b.b.b

acl 3089
rule 5 permit ip source c.c.c.c destination d.d.d.d

acl 3090
rule 5 permit ip source e.e.e.e destination f.f.f.f

Konfiguracja klasyfikatorów

traffic classifier c1
if-match acl 3088

traffic classifier c2
if-match acl 3089

traffic classifier c3
if-match acl 3090

Konfiguracja „zachowania” : definiujemy procentowy udział w pasmie łącza

traffic behavior b1
remark voice
queue llq bandwidth 10

traffic behavior b2
remark wazna-aplikacja
queue af bandwidth 30

traffic behavior b3
remark inna-wazna-aplikacja
queue af bandwidth 40

Polityka łącząca klasyfikator z zachowaniem

traffic policy p1
classifier c1 behavior b1
classifier c2 behavior b2
classifier c3 behavior b3

Przypisanie polityki do interfejsu

interface ethernet 0/0/4
traffic-policy p1 outbound

Wyświetlanie bieżącej konfiguracji

display current-config

Zapisywanie konfiguracji po modyfikacji

save

Wyświetlanie plików

dir
Directory of flash:/

Idx Attr Size(Byte) Date Time(LMT) FileName
0 -rw- 61,132,672 Apr 19 2013 10:39:08 ar200-v200r003c01spc300.cc
1 -rw- 0 Aug 14 2013 17:05:04 brdxpon_snmp_cfg.efs
2 -rw- 684 Sep 15 2013 17:04:56 rsa_host_key.efs
3 -rw- 286,620 Aug 14 2013 17:05:54 sacrule.dat
4 -rw- 540 Sep 15 2013 17:04:58 rsa_server_key.efs
5 -rw- 43,883 Sep 17 2013 09:44:34 mon_file.txt
6 drw- – May 23 2013 19:49:52 dhcp
7 drw- – May 23 2013 19:50:02 logfile
8 -rw- 1,024 Sep 13 2013 15:28:56 boot_logfile
9 -rw- 362 Sep 17 2013 11:52:50 private-data.txt
10 -rw- 522 Aug 14 2013 17:58:22 default_local.cer
11 -rw- 963 Aug 14 2013 17:58:22 default_local_privkey.pem
12 -rw- 1,514 Aug 21 2013 21:55:56 vrpcfg-old.zip
13 -rw- 1,939 Sep 17 2013 11:52:50 vrpcfg.zip

Kopia konfiguracji na pc z użyciem tftp

tftp 192.168.1.1 put flash:/vrpcfg.zip
Info: Transfer file in binary mode.
Uploading the file to the remote TFTP server. Please wait…

Kopia konfiguracji na flash

copy flash:/vrpcfg.zip flash:/vrpcfg2.zip
Copy flash:/vrpcfg.zip to flash:/vrpcfg2.zip? (y/n)[n]:y
100% complete
Info: Copied file flash:/vrpcfg.zip to flash:/vrpcfg2.zip…Done

Bootowanie systemu z drugiego pliku

startup saved-configuration vrpcfg2.zip

Weryfikacja stanu urządzenia

Stan interfejsów

display interface

Stan IP na interfejsach

display ip interface brief

Obciążenie procesora

display cpu-usage

Obciążenie pamięci

display memory-usage

Przegląd logów

display logbuffer

Weryfikacja stanu tunelu

[Huawei]display ike sa
Conn-ID Peer VPN Flag(s) Phase
—————————————————————
47271 213.199.219.146 0 RD 1
47275 213.199.219.146 0 RD|ST 2
47273 213.199.219.146 0 RD|ST 2
47272 213.199.219.146 0 RD|ST 1
47194 213.199.219.146 0 RD|ST 2
47192 213.199.219.146 0 RD|ST 2

Flag Description:
RD–READY ST–STAYALIVE RL–REPLACED FD–FADING TO–TIMEOUT
HRT–HEARTBEAT LKG–LAST KNOWN GOOD SEQ NO. BCK–BACKED UP

[Huawei]display ipsec sa

===============================
Interface: Ethernet0/0/4
Path MTU: 1500
===============================

—————————–
IPSec policy name: “cmap”
Sequence number : 10
Acl Group : 3101
Acl rule : 5
Mode : ISAKMP
—————————–
Connection ID : 47194
Encapsulation mode: Tunnel
Tunnel local : 213.199.219.219
Tunnel remote : 213.199.219.146
Flow source : 192.168.4.0/255.255.255.0 0/0
Flow destination : 0.0.0.0/0.0.0.0 0/0
Qos pre-classify : Disable

[Outbound ESP SAs] SPI: 2396107993 (0x8ed1b4d9)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3223
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N

[Inbound ESP SAs] SPI: 1725989950 (0x66e0843e)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3223
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N

—————————–
IPSec policy name: “cmap”
Sequence number : 10
Acl Group : 3101
Acl rule : 6
Mode : ISAKMP
—————————–
Connection ID : 47192
Encapsulation mode: Tunnel
Tunnel local : 213.199.219.219
Tunnel remote : 213.199.219.146
Flow source : 10.227.190.0/255.255.255.0 0/0
Flow destination : 0.0.0.0/0.0.0.0 0/0
Qos pre-classify : Disable

[Outbound ESP SAs] SPI: 2396107991 (0x8ed1b4d7)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3222
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N

[Inbound ESP SAs] SPI: 2909473131 (0xad6b096b)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3222
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N

===============================
Interface: Cellular0/0/0
Path MTU: 1500
===============================

—————————–
IPSec policy name: “cmap2”
Sequence number : 10
Acl Group : 3101
Acl rule : 5
Mode : ISAKMP
—————————–
Connection ID : 47280
Encapsulation mode: Tunnel
Tunnel local : 213.199.219.219
Tunnel remote : 213.199.219.146
Flow source : 192.168.4.0/255.255.255.0 0/0
Flow destination : 0.0.0.0/0.0.0.0 0/0
Qos pre-classify : Disable

[Outbound ESP SAs] SPI: 2396108020 (0x8ed1b4f4)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3581
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N

[Inbound ESP SAs] SPI: 1937982094 (0x7383428e)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3581
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N

—————————–
IPSec policy name: “cmap2”
Sequence number : 10
Acl Group : 3101
Acl rule : 6
Mode : ISAKMP
—————————–
Connection ID : 47281
Encapsulation mode: Tunnel
Tunnel local : 213.199.219.219
Tunnel remote : 213.199.219.146
Flow source : 10.227.190.0/255.255.255.0 0/0
Flow destination : 0.0.0.0/0.0.0.0 0/0
Qos pre-classify : Disable

[Outbound ESP SAs] SPI: 2396108021 (0x8ed1b4f5)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3583
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N

[Inbound ESP SAs] SPI: 1466555570 (0x5769dcb2)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3583
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N

Konto użytkownika z uprawnieniami do wykonywania konkretnych komend
Przypisanie poziomu uprawnień do użytkownika

aaa
local-user nazwausera privilege level 3

Przypisanie komend do poziomu uprawnień

command-privilege level 3 view shell display current-configuration
command-privilege level 3 view system display current-configuration
command-privilege level 3 view shell display interface GigabitEthernet7/0/0

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów
0
projektów powyżej 100,000zł

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów